Embed Size (px)
Citation preview
Rapport d’activité 2013 —pour la période du 1er janvierau 31 décembre 2013
EC 918
2
Autorité cantonale de la transparence et de la protection des donnéesRue des Chanoines 2, CH-1700 FribourgT. +41 26 322 50 08, F + 41 26 305 59 72www.fr.ch/atprd
Mai 2014
—
Imprimé sur papier 100% recyclé
3
AU GRAND CONSEILDU CANTON DE FRIBOURG
Madame la Présidente, Mesdames et Messieurs les Député-e-s,
Nous avons l’honneur de vous adresser le rapport 2013 de l’Autorité cantonale de la transparence et de la protection des données. Après un bref rappel de quelques généralités concernant les bases de fonctionnement de l’Autorité (I), il convient de distinguer les activités de la Commission proprement dite (II) de celles des Préposées à la transparence et à la protection des données (III). Nous continuerons avec quelques remarques au sujet de la coordination des deux champs d’activité (IV) et conclurons avec des considérations finales (V).
Nous vous en souhaitons bonne lecture et vous prions d’agréer, Madame la Présidente, Mesdames et Messieurs les Député-e-s, l’expression de notre haute considération.
Fribourg, avril 2014
Le Président La Préposée La Préposée de la Commission à la transparence à la protection des données
L. Schneuwly A. Zunzer Raemy A. Reichmuth Pfammatter
4
Table des abréviations et termes utilisés 7
I. BASES LéGALES, TÂCHES ET ORGANISATION DE L’AUTORITé 9
A. Transparence 9 1. En général 9 2. Organisation 9 2.1. Commission 9 2.2. Préposée à la transparence 10 2.3. Communes 10 2.4. Rapports avec le Préposé fédéral à la protection des données et à la transparence et les Préposés cantonaux 10B. Protection des données 1. En général 10 2. Relations avec le public 11 3. Organisation 11 3.1. Commission 11 3.2. Préposée à la protection des données 11 3.3. Communes 12 3.4. Rapports avec le Préposé fédéral à la protection des données et à la transparence, avec le Groupe de coordination des autorités suisses de protection des données (ASPD), avec l’Association des commissaires suisses à la protection des données Privatim et avec le Groupe des préposés latins à la protection des données et à la transparence 12C. Activités communes 12 1. Relations avec le public 12
II. ACTIVITéS PRINCIPALES DE LA COMMISSION 13
A. Sujets communs 1. Prises de position, en particulier sur des projets législatifs 13 1.1. En général 13 1.2. Quelques exemples de prises de position particulières 14 1.2.1. Règlement concernant la transmission de données aux paroisses ainsi que la tenue des registres par les paroisses 14 1.2.2. Avant-projet de modification de la loi sur la police cantonale 15 1.2.3. Avant-projet de directives du Conseil d’Etat sur le télétravail 15 1.2.4. Projet de mesures structurelles et d’économies à l’Etat de Fribourg (projet MSE) 15 1.2.5. Loi fédérale sur l’enregistrement des maladies oncologiques 16 1.2.6. Projet de loi fédérale sur le renseignement (LRens) 16 1.2.7. Révision partielle de la loi sur la Haute Ecole pédagogique 16 1.2.8. Avant-projet de loi modifiant la loi sur la justice et d’autres lois 16 1.2.9. Unification de la législation générale sur la protection des données 17 1.2.10. Loi fédérale sur le casier judiciaire informatique VOSTRA 17 2. Autres activités 17B. Transparence 18 1. Evaluation du droit d’accès 18
Table des matières
—
5
C. Protection des données 18 1. Décisions et recours (art. 30a al. 1 let. c, 22a, 27 LPrD) 18
III. ACTIVITéS PRINCIPALES DES PRéPOSéES 19
A. Préposée à la transparence 19 1. Statistiques et appréciation générale 19 2. Présentations du droit d’accès 19 3. Médiation 19 4. Exemples de réponses de la Préposée à la transparence 20 4.1. Procès-verbal d’une séance du conseil communal 20 4.2. Révision d’un plan directeur communal 20 4.3. Facture d’eau du voisin 20 4.4. Rapport d’une commission 20 4.5. Organe public fribourgeois ou non 21B. Préposée à la protection des données 21 1. Statistiques et appréciation générale 21 2. Protection des données et tâches de contrôle/inspection 21 3. Protection des données et tâches de conseil/de renseignement 21 4. Protection des données et tâches de préavis FRI-PERS et vidéosurveillance (LVid) 22 4.1. FRI-PERS 22 4.1.1 La Corporation ecclésiastique du canton de Fribourg 22 4.2. Vidéosurveillance 23 4.2.1 OCN 23 5. Exemples de réponses/d’avis rendus par la Préposée à la protection des données 23 5.1. Impression de fiches ou listes issues de la plate-forme informatique cantonale FRI-PERS 23 5.2. Accès au calendrier Outlook d’un service social 24 5.3. Communication de listes d’adresses à un organe d’institution privé 24 5.4. Communication de la liste d’adresses des élèves d’un village à l’association de l’accueil extrascolaire 24 5.5. Logs et surveillance du courrier électronique 24 5.6. Lettre ouverte du conseil communal 25 5.7. Accès d’un employé à son dossier personnel 25 5.8. Communication des PV de l’ECAB 26 5.9. Communication de données personnelles au Théâtre Equilibre 26 5.10. Demandes individuelles d’accès à la plate-forme FRI-PERS – Police cantonale 26 5.11. Traitement d’images en provenance de systèmes d’images numériques 27 6. Registre des fichiers «ReFi» 27
IV. COORDINATION ENTRE LA TRANSPARENCE ET LA PROTECTION DES DONNéES 28
V. REMARQUES FINALES 28
ANNEXES: statistiques 29-30
7
ACPD Autorités cantonales de protection des donnéesAP Avant-projetAVS Assurance-vieillesse et survivantsCdC Centrale de compensationCEC Corporation ecclésiastique cantonaleCPP Code de procédure pénaleDSJ Direction de la sécurité et de la justiceECAB Etablissement cantonal d’assurance des bâtimentsEERF Eglise évangélique réformée du canton de FribourgEMS Etablissements médico-sociaux pour personnes âgéesFRI-PERS Plate-forme informatique cantonale du contrôle des habitantsHAE Harmonisation des systèmes d’informations pour la gestion de l’environnement administratif des écolesHarmBat Harmonisation de la gestion des bâtiments et logementsHarmPers Harmonisation des registres des personnesLCH Loi du 23 mai 1986 sur le contrôle des habitantsLCo Loi du 25 septembre 1980 sur les communesLEMO Loi fédérale sur l’enregistrement des maladies oncologiquesLInf Loi du 9 septembre 2009 sur l’information et l’accès aux documentsLPD Loi fédérale sur la protection des donnéesLPers Loi du 17 octobre 2001 sur le personnel de l’EtatLPMéd Loi sur les professions médicalesLPol Loi du 15 novembre 1990 sur la police cantonaleLPrD Loi du 25 novembre 1994 sur la protection des donnéesLRens Loi fédérale sur le renseignementLVid Loi du 7 décembre 2010 sur la vidéosurveillanceMSE Mesures structurelles et d’économiesN-SIS Partie nationale du système d’information SchengenOCN Office de la circulation et de la navigationOVid Ordonnance du 23 août 2011 sur la vidéosurveillancePFPDT Préposé fédéral à la protection des données et à la transparencePrivatim Association des commissaires suisses à la protection des donnéesReFi Registre des fichiersRELCo Règlement du 28 décembre 1981 d’exécution de la loi sur les communesRPers Règlement du 17 décembre 2002 sur le personnel de l’EtatRSD Règlement du 29 juin 1999 sur la sécurité des données personnellesRStE Règlement du 27 septembre 2011 sur les structures d’accueil extrafamilialSPoMi Service de la population et des migrantsSIRENE Service de contact, de coordination et de consultation de l’Office fédéral de la police pour l’échange d’information en rapport avec les signalements dans le SISSIS Système d’information Schengen
Table des abréviations et termes utilisés
—
9
I. Bases légales, tâches et organisation de l’Autorité
—
A. Transparence —1. En généralLa Loi fribourgeoise sur l’information et l’accès aux documents (LInf)1, entrée en vigueur le 1er janvier 2011, régit l’information du public sur les activités étatiques et règle le droit d’accès de toute personne aux documents officiels.
La mise en œuvre du droit d’accès aux documents officiels ainsi que la surveillance de cette mise en œuvre sont assurées par l’Autorité cantonale de la transparence et de la protection des données.
En vertu de l’art. 40 b LInf, la Commission cantonale de la transparence et de la protection des données a notamment les tâches suivantes:
D assurer la coordination entre l’exercice du droit d’accès aux documents officiels et les exigences de la protection des données;
D diriger l’activité du ou de la Préposé-e à la transparence; D donner son avis sur les projets, notamment d’actes législatifs, qui ont un impact sur le droit d’accès aux documents officiels;
D exercer la haute surveillance sur les organes spécialisés communaux, dont elle reçoit le rapport d’activité; D évaluer régulièrement l’efficacité et les coûts de la mise en œuvre du droit d’accès aux documents et en faire état dans son rapport au Grand Conseil.
Conformément à l’art. 41 c LInf, le ou la Préposé-e à la transparence a pour l’essentiel les tâches suivantes: D informer la population et les personnes qui souhaitent faire valoir leur droit des modalités d’exercice du droit d’accès; D assurer l’information et la formation des organes publics sur les exigences liées à l’introduction du droit d’accès; D exercer les fonctions de médiation qui lui sont attribuées par la présente loi; D exécuter les travaux qui lui sont confiés par la Commission; D rendre public le résultat final des principaux cas ayant fait l’objet d’une procédure de médiation ou de décision; D faire rapport à la Commission sur son activité et ses constatations.
2. Organisation2.1. Commission
De janvier à fin septembre 2013, la Commission était présidée par M. Marc Sugnaux, à Fribourg, Président du Tribunal de la Broye. En été, M. Sugnaux a été élu en tant que juge auprès du Tribunal cantonal et s’est retiré par conséquent de la présidence de la Commission. Depuis le début novembre, la Commission est présidée par M. Laurent Schneuwly, à Ecuvillens, Président du Tribunal civil de la Sarine. Les autres membres de la Commission étaient: M. Louis Bosshart, professeur en sciences de la communication à l’Université de Fribourg, à Fribourg, Mme Christiana Fountoulakis, professeure ordinaire de droit privé à l’Université de Fribourg, M. Philippe Gehring, ingénieur en informatique EPFL, à Villars-sur-Glâne, Mme Madeleine Joye Nicolet, ancienne journaliste, à Fribourg, M. André Marmy, médecin, à Essert (Le Mouret), et M. Philippe Uldry, notaire, à Villars-sur-Glâne. La Commission a tenu neuf séances en 2013. Un procès-verbal fait état des délibérations et des décisions prises par la Commission. Mme Sylviane Cordova-Creux, collaboratrice administrative, s’est chargée de la rédaction des procès-verbaux. Hors séances, les Présidents ont assuré le suivi des dossiers, la correspondance, les discussions avec les Préposées durant quelque 120 heures sur l’ensemble de l’année.
1 http://bdlf.fr.ch/frontend/texts_of_law/47
10
2.2. Préposée à la transparence
La Préposée à la transparence travaille à mi-temps ; la collaboratrice administrative lui est attribuée à 30 %. Deux stagiaires juristes ayant achevé une formation en droit se sont succédé durant l’année, travaillant à plein temps pour les deux secteurs de l’Autorité.
Les points forts de l’activité de la Préposée à la transparence ont été, d’une part, l’information active et l’apport de renseignements au sujet du droit d’accès auprès des différents publics cibles et, d’autre part, des médiations.
2.3. Communes
En vertu de l’art. 39 al. 4 LInf, les communes peuvent instituer leur propre organe spécialisé, qui remplit alors les fonctions de mise en œuvre du droit d’accès et de médiation. Elles peuvent grouper surveillance de la protection des données et mise en œuvre du droit d’accès au sein d’un même organe. La Commission cantonale n’exerce alors plus qu’une haute surveillance sur ces organes spécialisés communaux dont elle reçoit les rapports d’activité.
Comme pendant les années précédentes, l’Autorité cantonale de la transparence et de la protection des données a aussi assumé les tâches décrites pour toutes les communes fribourgeoises en 2013.
2.4. Rapports avec le Préposé fédéral à la protection des données et à la transparence et les Préposés cantonaux
La Préposée à la transparence s’attache à collaborer avec le PFPDT et avec les autorités en la matière dans les autres cantons. En 2013, plusieurs rencontres ont permis de procéder à des échanges approfondis et d’aborder des thèmes d’actualité.
B. Protection des données —1. En généralLa Loi fribourgeoise du 25 novembre 1994 sur la protection des données (LPrD)2 vise à protéger les droits fondamentaux des administrés lorsque des organes publics du canton traitent des données à leur sujet. La Loi fédérale sur la protection des données (LPD), quant à elle, s’applique au traitement des données par des organes publics fédéraux ou des personnes privées.La surveillance de la protection des données dans le canton est assurée par une Autorité cantonale, formée d’une Commission et d’un(e) Préposé(e).
En vertu de l’art. 30a LPrD, la Commission cantonale de la transparence et de la protection des données a notamment les tâches suivantes:
D assurer la coordination entre les exigences de la protection des données et l’exercice du droit d’accès aux documents officiels;
D diriger l’activité du-de la Préposé-e à la protection des données; D donner son avis sur les projets d’actes législatifs touchant à la protection des données ainsi que dans les cas prévus par la loi;
D mettre en œuvre la procédure prévue à l’art. 22a LPrD, à savoir inviter l’autorité compétente à prendre les mesures nécessaires, en cas de violation ou de risque de violation de prescriptions légales et, cas échéant, interjeter recours auprès du Tribunal cantonal contre une décision de rejet de la part d’un organe public.
Conformément à l’art. 31 et 21 al. 3 LPrD, le-la Préposé-e à la protection des données a pour l’essentiel les tâches suivantes:
D contrôler l’application de la législation relative à la protection des données, notamment en procédant systématiquement à des vérifications auprès des organes concernés;
2 http://bdlf.fr.ch/frontend/texts_of_law/46
11
D conseiller les organes concernés, notamment lors de l’étude de projets de traitement; D renseigner les personnes concernées sur leurs droits; D collaborer avec le Préposé fédéral à la protection des données et à la transparence ainsi qu’avec les autorités de surveillance de la protection des données des autres cantons et avec celles de l’étranger;
D examiner l’adéquation du niveau de protection assuré à l’étranger, au sens de l’art. 12a al. 3; D exécuter les travaux qui lui sont confiés par la Commission; D tenir le registre des fichiers.
S’y ajoutent des tâches figurant dans d’autres législations, par ex.: D les tâches de préavis FRI-PERS en matière d’accès à la plate-forme informatique contenant les données des registres des habitants et de contrôle des autorisations en collaboration avec le Service de la population et des migrants (Ordonnance du 14 juin 2010 relative à la plate-forme informatique contenant les données des registres des habitants)3;
D les tâches de préavis LVid en matière d’autorisation d’installation de systèmes de vidéosurveillance avec enregistrement (Loi du 7 décembre 2010 sur la vidéosurveillance; Ordonnance du 23 août 2011 y relative) 4.
La loi ne répartit pas de manière stricte les tâches de surveillance entre la Commission et la Préposée à la protection des données. Comme jusqu’ici (cf. les rapports annuels précédents5), à la Commission reviennent les tâches liées à des affaires de caractère législatif et les dossiers dans lesquels il importe de définir une politique générale de protection des données. S’y ajoute la mise en œuvre de la procédure en cas de violation des prescriptions sur la protection des données (art. 30a al. 1 let. c, art. 22a et art. 27 al. 2 LPrD avec le pouvoir de recours contre les décisions des organes publics auprès du Tribunal cantonal), cf. ci-après II A 2.
2. Relations avec le publicL’art. 30a al. 2 LPrD statue que la Commission peut, dans la mesure où l’intérêt général le justifie, informer le public de ses constatations. L’Autorité a toujours utilisé cette compétence avec circonspection afin de ne pas dévaloriser l’impact de cette mesure. Depuis l’entrée en vigueur de la LInf, elle a intégré une politique d’information active, par ex. par le biais de son site Internet et de publications telles que newsletters, communiqués de presse, actualités.6
3. Organisation3.1. Commission Se référer à I.A.2.1.
3.2. Préposée à la protection des données
La Préposée à la protection des données travaille à 50%. Mme Dominique Nouveau Stoffel a pris sa retraite à la fin du mois de mars 2013 et Mme Alice Reichmuth Pfammatter lui a succédé à partir du mois d’avril; la collaboratrice administrative lui est attribuée à 50% ainsi qu’un juriste également à 50%. M. Gaël Gobet s’est principalement occupé de l’instruction des dossiers (notamment les préavis FRI-PERS et LVid), de la préparation d’avis et de l’étude de projets de traitement. Deux stagiaires juristes, rémunérées post-formation, se sont succédé durant l’année.
L’Autorité est rattachée administrativement à la Chancellerie.
L’Autorité relève qu’avec les nouvelles tâches dans le domaine de la protection des données (notamment FRI-PERS, LVid, points de contact avec la LInf), il est difficile de les remplir à satisfaction avec les moyens dont elle dispose.
3 http://bdlf.fr.ch/frontend/versions/28864 http://bdlf.fr.ch/frontend/versions/11625 http://www.fr.ch/atprd/fr/pub/publications/protection_donnees/rapports_activite.htm 6 http://www.fr.ch/atprd/fr/pub/publications/protection_donnees/protection_des_donnees.htm
12
3.3.Communes
La Préposée à la protection des données a publié des réponses à des questions d’actualité sur le site Internet7 (par ex. le Cloud computing dans le domaine scolaire, la publication de données personnelles dans le bulletin d’informations de la commune) et dans la newsletter8 (par ex. la sphère privée à l’ère des réseaux sociaux, les prises de vue faites par les microdrones, la demande de transmission de la date d’arrivée d’un habitant adressée à une commune).
3.4. Rapports avec le Préposé fédéral à la protection des données et à la transparence, avec l’Association des
commissaires suisses à la protection des données Privatim et avec le Groupe des préposés latins à la
protection des données et à la transparence
La Préposée à la protection des données s’attache à collaborer avec le PFPDT, ainsi qu’avec les autorités en la matière dans les autres cantons (art. 31 al. 2 let f LPrD). L’Autorité fait en outre partie, avec toutes les autres autorités cantonales, de l’Association des commissaires suisses à la protection des données Privatim9.
D La Préposée à la protection des données a des contacts formels ou informels avec le PFPDT. L’Accord d’Association à Schengen, ratifié par la Suisse en mars 2006 et entré en vigueur le 1er mars 2008, prévoit la participation de la Suisse au Système d’Information Schengen (SIS). Cet accord requiert l’instauration d’une autorité nationale de contrôle en matière de protection des données dans tous les États participants à la coopération Schengen. En Suisse, ces activités de surveillance sont assurées par le PFPDT et les autorités cantonales de protection des données (ACPD) dans le cadre de leurs compétences respectives. Le Groupe de coordination des autorités suisses de protection des données a été réuni deux fois durant l’année 2013 par le PFPDT10.
D Sur des questions générales d’importance internationale, nationale et intercantonale, l’Autorité a pu profiter des travaux effectués dans le cadre de Privatim. Cette collaboration est très utile, voire indispensable pour se forger des opinions et prendre des positions ou au minimum des points de vue si possible coordonnés (notamment pour les réponses à des procédures de consultation). C’était par ex. le cas du Cloud computing dans le domaine scolaire ou encore à l’occasion de la consultation relative à la Loi fédérale sur l’enregistrement des maladies oncologiques. Le président actuel de Privatim est le Préposé à la protection des données du canton de Zurich. L’assemblée générale du printemps a eu lieu à Lausanne et différents sujets ont été abordés, particulièrement la protection des données dans le domaine des médias sociaux. L’assemblée générale d’automne s’est déroulée à Frauenfeld. Le principal thème traité était celui du contrôle et de la nouvelle évaluation Schengen 2014.
D le Groupe des préposés latins à la protection des données et à la transparence s’est rencontré à Genève, à l’occasion de laquelle le thème principal a été la vidéosurveillance. A ce sujet, la Préposée genevoise a présenté une étude générale sur la vidéosurveillance.
C. Activités communes — 1. Relations avec le public En 2013, l’Autorité cantonale de la transparence et de la protection des données a tenu sa traditionnelle conférence de presse. Le site Internet propre de l’Autorité11 connaît une fréquentation moyenne. Dans sa newsletter semestrielle12, l’Autorité a fait connaître son travail à un public plus large et a abordé des thèmes d’actualité en lien avec la transparence et la protection des données.
7 http://www.fr.ch/atprd/fr/pub/actualites.cfm http://www.fr.ch/atprd/fr/pub/themes/protection_des_donnees/controle_des_habitants.htm
8 http://www.fr.ch/atprd/files/pdf54/Newletters_01-2013_FR1.pdf http://www.fr.ch/atprd/files/pdf59/Newsletter_FR1.pdf9 http://www.privatim.ch/fr/page-daccueil.html10 http://www.edoeb.admin.ch/index.html?lang=fr11 http://www.fr.ch/atprd 12 http://www.fr.ch/atprd/files/pdf54/Newletters_01-2013_FR1.pdf http://www.fr.ch/atprd/files/pdf59/Newsletter_FR.pdf
13
A. Sujets communs —1. Prises de position, en particulier sur des projets législatifs1.1. En général
La Commission s’est prononcée sur les différents projets législatifs du Canton et de la Confédération. Le présent rapport prend en compte également des procédures de consultation reçues en 2012, mais soumises à la Commission en 2013 (les consultations reçues en 2013, mais soumises à la Commission l’année suivante ne font pas partie de la liste ci-dessous). La Commission constate, cette année, un nombre plus élevé de consultations traitées.
D Avant-projet de directives du Conseil d’Etat sur le télétravail D Avant-projet de modification de la loi sur la police cantonale D Avant-projets de loi modifiant la législation en matière de droits politiques (adaptations diverses; système électoral selon mode de scrutin proportionnel et cercles électoraux)
D Projet de mesures structurelles et d’économies à l’Etat de Fribourg (projet MSE) D Loi fédérale sur l’enregistrement des maladies oncologiques (LEMO) D Avant-projet de loi supprimant le recours au CE en matière de personnel D Règlement concernant la transmission de données aux paroisses ainsi que la tenue des registres par les paroisses D Avant-projet de modification de la loi cantonale sur la mensuration D Projet de loi fédérale sur le renseignement (LRens) D Avant-projet de loi portant adhésion du canton de Fribourg aux modifications du concordat instituant des mesures contre la violence lors de manifestations sportives
D Avant-projet de loi modifiant la loi sur la chasse et la protection des mammifères, des oiseaux sauvages et de leurs biotopes
D Avant-projet de loi modifiant la loi sur la pêche D Révision partielle de la loi sur la Haute Ecole pédagogique D Projet d’ordonnance concernant la surveillance des enfants placés chez des parents nourriciers D Loi fédérale sur le casier judiciaire informatique VOSTRA D Avant-projet de loi modifiant la loi sur la justice et d’autres lois D Avant-projet de règlement sur la protection de la nature et du paysage D Avant-projets de loi modifiant la législation en matière de droits politiques (adaptations divers; système électoral selon le mode de scrutin proportionnel et cercles électoraux)
D Annulation des commandements de payer injustifiés D Modification de la loi sur l’asile D Unification de la législation générale sur la protection des données D Règlements Dublin III et Eurodac D Loi fédérale concernant l’amélioration de l’échange d’informations entre les autorités au sujet des armes D Directive sur la traduction à l’Etat de Fribourg D Avant-projet d’ordonnance modifiant le règlement d’exécution de la loi sur le registre foncier D Avant-projet d’ordonnance sur les guides de montagne et les organisateurs d’autres activités à risque D Ordonnance concernant le registre de la loi sur les professions médicales LPMéd D Projet d’arrêté fédéral sur la reprise et la mise en œuvre du règlement (UE) n° 1051/2013 modifiant le code frontières Schengen afin d’établir des règles communes relatives à la réintroduction temporaire du contrôle aux frontières intérieures (développement de l’acquis de Schengen) et sur d’autres modifications apportées au droit de l’asile et au droit des étrangers
II. Activités principales de la Commission
—
14
Remarques préliminairesL’Autorité constate que la transparence et la protection des données sont souvent prises en compte dans les nouvelles dispositions légales. Les projets de loi lui sont normalement communiqués, mais elle remarque que les projets d’ordonnances ne lui parviennent pas dans tous les cas.
La Commission introduit systématiquement dans ses réponses une demande d’être informée du suivi de ses remarques. Ce retour d’informations a lieu dans des cas particuliers.
Eu égard au fait que le respect des principes de la protection des données et de la transparence ne peut se faire de manière efficace que si le législateur intègre ces principes dès le début des travaux législatifs, la Commission souhaite que les rapports explicatifs et messages accompagnant les projets soumis à l’Autorité reflètent le résultat de l’analyse aux niveaux de la transparence et de la protection de données (analyse qui, pour la protection des données, relève de la responsabilité des organes publics, art. 17 LPrD).
La Commission reçoit également d’autres projets relativement éloignés de la protection des données ou de la transparence; elle se limite alors à une prise de position ponctuelle. Elle estime cependant très important d’être informée et consultée largement car les projets de loi dans les domaines les plus divers ont souvent une influence sur les solutions que la Commission ou les Préposées préconisent dans d’autres dossiers; en outre, il est nécessaire que l’Autorité soit au courant de l’évolution législative générale dans le canton.
La Commission a donné son avis sur différents sujets en dehors de la procédure législative «ordinaire». La Commission se prononce le plus souvent à la demande de la Préposée à la protection des données suite à des interpellations concrètes de la part des personnes et/ou autorités intéressées, par ex. dans le cas de la publication du décret de naturalisation.
Dans un souci de transparence, la Commission publie une bonne partie de ses prises de position sur le site Internet13.
1.2. Quelques exemples de prises de position particulières
1.2.1. Règlement concernant la transmission de données aux paroisses ainsi que la tenue des registres par les paroisses14
Sous l’angle de la protection des données, la Commission a relevé que l’EERF a choisi le Conseil synodal en tant qu’organe responsable de la transmission des données obtenues au moyen de la plate-forme informatique cantonale FRI-PERS, aux différentes paroisses du canton. Ce Conseil a fondé sa compétence dans un règlement et non dans la Constitution, dès lors la Commission a émis le souhait que le Conseil synodal prévoie également une mention de sa compétence dans la Constitution de l’EERF. En outre, la Commission a estimé que le règlement doit mentionner, dans son préambule, les directives du 28 mai 1998 concernant l’application de la Loi sur le contrôle des habitants et a constaté que le règlement ne contenait pas de dispositions relatives à l’élimination des données, notamment en cas de sortie de l’Eglise et en cas de décès. La Commission a précisé que si la Chancellerie de l’Eglise est chargée de la transmission des données, le Conseil synodal n’en demeure pas moins responsable des données et du respect des principes de la protection des données à l’égard de celle-ci. Le règlement fait mention d’une convention passée avec chaque paroisse réglant la transmission des données et qui contient «les dispositions utiles concernant la réception sécurisée des données». Selon la Commission, ladite convention doit également prévoir un certain nombre de mesures nécessaires permettant de vérifier l’utilisation conforme des données aux principes de la protection des données. Enfin, la Commission a relevé qu’il n’était pas nécessaire que l’EERF obtienne l’identité du conjoint ou du partenaire enregistré, dès lors que celui-ci n’est pas de religion réformée et qu’il n’est ainsi pas membre de l’Eglise réformée. Seul le consentement de la personne concernée pourrait permettre à l’EERF d’obtenir les données désirées.
13 http://www.fr.ch/atprd/fr/pub/consultations.htm 14 http://www.fr.ch/atprd/files/pdf61/3307_lettre-reponse_a_consultation_06.03.13.pdf
15
1.2.2. Avant-projet de modification de la loi sur la police cantonale15
Dans cet avant-projet, la question de l’applicabilité de la LPrD à l’observation préventive (art. 33a AP), aux recherches préliminaires secrètes (art. 33b AP) et à l’investigation préliminaire secrète (art. 33c AP) se pose, dans la mesure où cette législation ne s’applique pas aux procédures pendantes (art. 2 al. 2 let. d LPrD). La Commission a constaté que les démarches des articles 33a à 33c AP sont antérieures aux investigations policières, au sens de l’art. 300 CPP, et interviennent ainsi avant l’ouverture de toute procédure pénale. En conséquence, elles ne sont pas concernées par l’exception prévue à l’art. 2 al. 2 let. d LPrD et les dispositions de la LPrD sont applicables. De façon générale, la Commission a salué le fait que les règles prévues à ces articles prennent en considération les principes de la protection des données. Toutefois, de façon plus particulière, elle a relevé que les notions d’«indices sérieux» et d’«autres mesures de recherche d’information (...) excessivement difficiles» devraient être interprétées de manière restrictive, afin de garantir l’application du principe de la proportionnalité. Elle a ajouté que l’art. 38d AP devrait mentionner expressément qu’en l’absence de toute ouverture de procédure pénale, les données récoltées dans le cadre de ces démarches doivent être détruites, sans limiter cette destruction aux seuls images et sons. En outre, le délai de 100 jours pour la destruction des données, prévu à l’art. 38d AP, a paru trop long pour la Commission, qui a relevé qu’un délai de 3 mois pourrait être repris de l’art. 41 LPol et ce également dans un but d’harmonisation. Au surcroît, les terminologies employées aux articles 33a à 33c AP ne correspondent pas à celles de l’actuel article 41 LPol, dès lors la question de l’équivalence ou des divergences entre ces terminologies est posée.
1.2.3. Avant-projet de directives du Conseil d’Etat sur le télétravail16
S’agissant de la question du contrôle du respect des conditions de sécurité et de protection des données prévues dans les directives et dans la convention de télétravail, la Commission a soulevé que la simple mention de contrôles ou inspections éventuels n’est pas suffisante. Elle a estimé qu’il était essentiel que des contrôles réguliers soient effectués, selon un rythme et une procédure prédéfinis. En outre, elle a ajouté qu’il était également nécessaire que la personne ou les personnes chargées de ces contrôles soient prédéfinies, afin d’éviter que les collaborateurs-trices concernés-ées soient confrontés-ées sans nécessité à des visites à leur domicile de personnes non identifiées au préalable. Concernant la destruction des documents confidentiels, la Commission a considéré que, du point de vue de la sécurité et de la protection des données, il serait plus efficace de les détruire sur le lieu de télétravail, au moyen d’un destructeur de documents, plutôt que de prendre le risque de les transporter d’un lieu à l’autre.Ayant pris acte que cet avant-projet ne concerne ni le travail en déplacement ni l’accès régulier à distance au système informatique et au réseau de l’Etat par un-e de ses collaborateurs-trices, la Commission a relevé que la sécurité et la protection des données dans ces contextes nécessiteraient l’élaboration de directives de l’Etat à leur intention.
1.2.4. Projet de mesures structurelles et d’économie à l’Etat de Fribourg (projet MSE)17
En relation avec les mesures prévues en matière de personnel, la Commission a considéré que le quasi-gel de la création de nouveaux postes pour 2015 ne permettrait pas à certains services de l’Etat de continuer à assumer leurs tâches légales. S’agissant en particulier du poste de Préposée à la protection des données, la Commission a rappelé la surcharge chronique de ce poste et la demande tendant à ce que ce poste soit augmenté, taux de travail qui n’a pas changé depuis l’entrée en vigueur de la LPrD en 1995. L’Autorité doit faire face à une augmentation de tâches légales dues à de nouvelles législations, notamment préavis FRI-PERS et LVid, transparence, ainsi que les dossiers en matière de transparence (LInf) et protection des données impliquant des échanges entre les deux Préposées et traitements communs. En conséquence, la Commission a considéré que le quasi-gel de la création de nouveaux postes pour 2015 devrait faire l’objet d’un nouvel examen. Sous l’angle de la protection des données, la Commission a demandé que la mesure consistant à «contrôler l’intégralité du registre des contribuables en collaboration avec les communes, HarmPers, l’OCN et le Service de la population» soit précisée, que la légalité de ces démarches fasse l’objet d’un nouvel examen approfondi et que l’Autorité cantonale de la transparence et de la protection des données soit associée à ce nouvel examen.
15 http://www.fr.ch/atprd/files/pdf61/3324_lettre-reponse_a_csl_19.03.2013.pdf16 http://www.fr.ch/atprd/files/pdf61/3323_lettre-reponse_a_csl_07.03.2013.pdf17 http://www.fr.ch/atprd/files/pdf61/3329_lettre-reponse_a_csl_14.06.2013.pdf
16
Concernant les mesures organisationnelles proposées dans ce projet et visant à «assouplir les règles en matière de protection des données», la Commission s’est montrée inquiète et a rappelé que le droit à la protection des données personnelles est un droit constitutionnel fondamental ancré à l’art. 13 de la Constitution fédérale et est concrétisé par des dispositions législatives et réglementaires. Dès lors, ce droit ne saurait être bradé, ou «assoupli», dans le cadre d’un programme de mesures d’économie.
1.2.5. Loi fédérale sur l’enregistrement des maladies oncologiques (LEMO)18
La Commission a salué la création d’une loi fédérale sur l’enregistrement des maladies oncologiques, dans la mesure où ce dernier porte sur des données personnelles très sensibles et, par conséquence, nécessite une base légale formelle détaillée.La Commission a proposé la suppression du droit d’opposition du patient à la transmission d’informations, étant rappelé que ce droit risque de fausser le registre dans le sens que les données contenues seraient incomplètes et que, de surcroît, ce droit ne concerne que l’ensemble minimal de données, la collecte de données supplémentaires étant soumise à autorisation expresse de la personne concernée. La renonciation à un droit d’opposition à la collecte des données minimales renforce la nécessité de délimiter précisément quelles sont ces données et dans quel but elles sont traitées. Ainsi, la Commission a constaté que l’art. 2 devrait être complété par une description plus précise des buts poursuivis.La Commission a rappelé que le numéro NAVS13 comme identificateur personnel n’est pas adéquat. Par conséquent, l’utilisation de l’identificateur du dossier électronique du patient lui paraît être une meilleure solution.En application du principe de proportionnalité, la Commission a relevé que, du point de vue de recherche épidémiologique, la collecte de l’information relative à l’année de naissance était suffisante. Partant, la date de naissance exacte ne serait pas nécessaire.Enfin, la Commission a mentionné qu’il serait utile d’introduire une nouvelle disposition mentionnant que la communication des données doit être protégée par des mesures adaptées de nature technique et organisationnelle, au vu de l’importance de la sécurité dans le cadre de la transmission des données personnelles.
1.2.6. Projet de loi fédérale sur le renseignement (LRens)19 La Commission a salué l’importance d’une codification unifiée dans la matière complexe et pourvue d’interventions lourdes dans des droits fondamentaux des personnes concernées. Toutefois, elle a insisté sur la nécessité absolue de respecter le principe de la proportionnalité. Elle a rappelé que la législation cantonale en matière de protection des données est applicable lorsque les organes cantonaux appliquent la loi citée.
1.2.7. Révision partielle de la loi sur la Haute Ecole pédagogique20
La Commission a souligné qu’il serait essentiel de mentionner la nécessité de garantir le respect des principes de protection des données et de transparence ainsi que de prévoir explicitement quel organe est compétent pour garantir le respect de ces principes. La Commission a relevé qu’il conviendrait de préciser que les intervenants externes sont également soumis au secret de fonction (art. 21). Enfin, la Commission a rappelé que les fichiers contenant des données personnelles, tenus dans le cadre de l’application de cette législation, devraient être déclarés auprès de l’Autorité (art. 19 ss LPrD).
1.2.8. Avant-projet de loi modifiant la loi sur la justice et d’autres lois21 Sous l’angle de la protection des données, la Commission a souligné l’importance de préciser le lieu de travail de chaque personne, l’emplacement des dossiers et des personnes y ayant accès. Dans ce contexte, l’existence de juges itinérants pourrait alors créer des risques supplémentaires, liés en particulier au transfert de dossiers et de pièces d’un lieu de travail à un autre. 18 http://www.fr.ch/atprd/files/pdf61/3342_lettre-reponse_a_csl_20130222.pdf19 http://www.fr.ch/atprd/files/pdf61/3374_lettre-reponse_a_csl_03.06.2013.pdf20 http://www.fr.ch/atprd/files/pdf61/3453_lettre-reponse_a_csl_12.09.2013.pdf21 http://www.fr.ch/atprd/files/pdf61/3458_lettre-reponse_a_csl_12.09.2013.pdf
17
S’agissant du remboursement de l’assistance judiciaire, la Commission est d’avis que la transmission du dispositif de la décision d’assistance judiciaire et de la décision de fixation de la liste de frais, sans les éventuels considérants, au Service de la justice, serait suffisante pour que celui-ci puisse accomplir sa tâche (art. 123 al. 3 AP). Par ailleurs, lorsque la fixation de l’indemnité au défenseur d’office est intégrée dans la décision de fond, seule la partie du dispositif concernant la fixation de l’indemnité devrait être communiquée au Service de la justice.Concernant la transparence, la Commission a estimé qu’il serait opportun, une fois la loi révisée, d’effectuer une présentation publique dans sa globalité, compte tenu de l’intérêt du public pour l’organisation du système judiciaire et du fait que les détails de cette organisation sont généralement peu connus.
1.2.9. Unification de la législation générale sur la protection des données22
La Commission est favorable à un maintien de la situation actuelle et ne voit pas d’avantage à l’élaboration d’une loi fédérale uniforme.En particulier, partant du constat que les différentes lois cantonales en matière de protection des données se réfèrent toutes à des principes déjà harmonisés, l’élaboration d’une loi fédérale uniforme reprenant ces principes n’apporterait rien de plus aux cantons, qui conserveraient la compétence d’adopter des lois énonçant les modalités d’application de ces principes.Par ailleurs, la Commission a estimé qu’une loi fédérale fondée sur une compétence fédérale en matière de protection des données primerait sur le droit matériel cantonal. La coexistence de ces deux législations et la primauté du droit fédéral, alors même que les cantons conserveraient leur autonomie d’organisation, pourraient dès lors conduire à une situation peu claire.
1.2.10. Loi fédérale sur le casier judiciaire informatique VOSTRA23 La Commission a salué le fait que la question du traitement des données personnelles relatives à des procédures pénales en cours et à des jugements entrés en force fasse l’objet d’une loi au sens formel. S’agissant de l’utilisation systématique du nouveau numéro AVS (NAVS13) (art. 14 du projet), la Commission est d’avis qu’elle devrait être abandonnée. D’une part, le numéro AVS est un numéro de sécurité sociale qui ne doit pas être utilisé pour d’autres applications que celles liées à son but. D’autre part, selon la centrale de compensation (CdC), environ 20 millions de numéros NAVS13 ont été attribués, environ 200’000 personnes ont reçu plus d’un numéro NAVS13 et certains numéros NAVS13 ont été attribués à plus d’une personne ; dès lors, la Commission a estimé que le NAVS13 ne garantirait pas de façon certaine et efficace l’identification des personnes enregistrées dans la banque de données VOSTRA. De plus, il existerait un risque important que les différentes bases de données puissent facilement permettre des recoupements, dans la mesure où le numéro NAVS13 est déjà utilisé comme numéro d’identification personnel dans de nombreux domaines de l’administration.
2. Autres activitésLa Commission (respectivement l’un ou l’autre de ses membres à titre individuel ou son Président) a eu en outre de nombreuses autres activités ponctuelles. Les exemples suivants peuvent être cités:
D la question de la collecte, la communication et la conservation de données personnelles sensibles par les organes publics est régulièrement à l’ordre du jour des travaux de la Commission, et aussi des travaux de la Préposée à la protection des données (par ex. dans le cas des crèches, de la communication de données contenues dans les dossiers médicaux, de la transmission de données personnelles détenues par des communes ou par des hautes écoles).
D de manière régulière, la Commission, respectivement l’un de ses membres ou le Président, discute et prend position par rapport à certains dossiers gérés par les Préposées à la transparence et à la protection des données qui soulèvent des questions de principe (par ex. dans le cas d’un contrôle internet des flux sécurisés (https), de la responsabilité relative à la sécurité des données, du caviardage des documents soumis au droit d’accès ou des recommandations en matière de médiation).
22 http://www.fr.ch/atprd/files/pdf61/3488_lettre-reponse_a_csl_16.09.2013.pdf 23 http://www.fr.ch/atprd/files/pdf61/3297_lettre-reponse_a_csl_201301311.pdf
18
B. Transparence—1. Evaluation du droit d’accès Depuis le début 2012, l’évaluation du droit d’accès se fait via un site extranet. Les organes publics ont reçu un nom d’utilisateur ainsi qu’un mot de passe par le Service de l’informatique et des télécommunications pour accéder à cette plate-forme.Selon les chiffres qui ont été communiqués à l’Autorité, 37 demandes d’accès ont été déposées auprès des organes publics fribourgeois en 2013. Dans 29 cas, les organes publics ont accordé un accès complet et dans 1 cas un accès partiel. Dans 7 cas, l’accès aux documents a été refusé. Les domaines les plus concernés étaient les domaines de l’environnement, des constructions et de l’administration. Le temps consacré au droit d’accès en général, et en conséquence les coûts de la mise en œuvre du droit d’accès aux documents, varient sensiblement. Certains organes publics ont annoncé moins d’une heure consacrée au droit d’accès en 2013 tandis que d’autres ont investi plusieurs dizaines d’heures, surtout dans des cas de médiation. Les chiffres annoncés à l’Autorité montrent cependant clairement qu’au cours de la troisième année suivant l’introduction du droit d’accès, le nouveau droit n’a en général pas non plus entraîné de très grande charge supplémentaire de travail pour le personnel.
C. Protection des données—1. Décisions et recours (art. 30a al. 1 let. c, 22a, 27 LPrD) Une tâche légale de la Commission concerne la mise en œuvre de la procédure prévue à l’art. 22a en cas de violation ou de risque de violation des prescriptions sur la protection des données. Elle consiste à inviter l’autorité compétente à prendre les mesures nécessaires et, cas échéant, à interjeter recours auprès du Tribunal cantonal contre une décision de rejet de la part d’un organe public. Durant l’année 2013, la Commission a reçu deux copies de décision de la Police cantonale sur une demande d’effacement de données. La Commission n’a pas interjeté de recours parce que la décision lui a paru conforme à la législation en vigueur. Aucun autre organe public n’a communiqué de décision.
Dans le cadre d’une requête d’accès à FRI-PERS par les communes du canton de Fribourg, la Direction de la sécurité et de la justice (DSJ) a émis une décision qui allait à l’encontre du préavis de la Préposée, pour la première fois depuis 2011. En effet, les communes du canton avaient requis un accès au numéro AVS ainsi qu’à la filiation, en complément de l’accès qui leur avait été accordé en date du 21 septembre 2011 (P1). La Commission estimait, en substance, que l’accès à ces données n’était pas nécessaire à l’accomplissement de la tâche des communes et qu’un accès par toutes les communes du canton aux données de tous les habitants du canton de Fribourg violait le principe de la proportionnalité. La DSJ a rejeté la recommandation. La Commission n’a pas recouru contre cette décision.
Un particulier avait déposé à l’Autorité «une plainte à l’autorité de surveillance» selon l’art. 22a al. 1 LPrD. Il sollicitait une recommandation au sens de l’art. 22a LPrD de la part de l’Autorité envers un organe public qui avait traité ses données personnelles. La Commission a retenu qu’elle n’exerçait pas de pouvoir de surveillance administrative générale sur les organes publics et entités soumises à la LPrD. Par contre, la Commission a traité la plainte comme dénonciation et elle a renoncé à émettre une recommandation.
19
III. Activités principales des Préposées
—
A. Préposée à la transparence —1. Statistiques et appréciation générale Durant la période considérée, 87 dossiers ont été introduits, dont 5 sont pendants au 1er janvier 2014. 33 conseils et renseignements, 2 avis, 30 examens de dispositions législatives, 20 présentations, 1 demande d’accès et 1 demande en médiation. 46 dossiers concernent des organes cantonaux ou des institutions chargées de tâches publiques, 19 des communes et paroisses, 11 d’autres organismes publics (cantons, autorités de transparence), 8 des particuliers ou institutions privées et 3 médias (cf. statistiques annexées).
Durant la troisième année également, c’était surtout l’accompagnement des différents publics cibles qui était au centre des activités de la Préposée à la transparence. Des organes publics l’ont contactée pour des questions de détail au sujet du droit d’accès ou pour des cas concrets qui leur ont été soumis. Les citoyennes et citoyens ont également pris contact avec l’Autorité pour savoir s’ils pouvaient invoquer la loi sur l’information et l’accès aux documents pour avoir accès à tel ou tel document.
Lors de plusieurs demandes, les limites de la fonction de la Préposée à la transparence ont dû être soulignées en 2013 également. La Préposée peut fournir des renseignements généraux sur le domaine de la transparence, mais pas d’avis circonstancié au sujet d’un cas concret. La formulation d’une recommandation est réservée à une éventuelle phase de médiation, au sens de l’art. 33 LInf ; la Préposée doit en conséquence rester neutre pour cette étape.
2. Présentations du droit d’accèsEn 2013, la Préposée à la transparence a mis l’accent sur la sensibilisation des apprentis de l’Etat dans le cadre des cours interentreprises.
3. Médiation En 2013, une requête de reprise de la procédure de médiation et une demande en médiation ont été adressées à la Préposée à la transparence ; un cas a abouti à une recommandation.
La requête de reprise de la procédure de médiation concernait une demande de 2012 émanant d’un citoyen qui avait demandé à la Préfecture de la Veveyse l’accès à l’ensemble des documents rédigés et obtenus dans le cadre d’une procédure qu’il avait engagée contre la commune de Châtel-St-Denis. Le Préfet a rejeté cette demande. Parallèlement à la première demande en médiation, le citoyen a fait recours contre la décision de la Préfecture auprès du Tribunal cantonal, raison pour laquelle la procédure de médiation a été interrompue d’un commun accord en 2012.
Par la suite, le Tribunal cantonal a jugé le recours irrecevable, mais fait observer qu’il y avait lieu d’accorder l’accès aux documents demandés dans le cadre des modalités prévues par la LInf. Le Préfet a alors remis la majorité des documents au citoyen, mais a rejeté la demande d’accès à certains d’entre eux. Par conséquent, le citoyen a réactivé sa demande en média-tion et sollicité l’accès à plusieurs autres documents. Sur sa demande, la procédure de médiation s’est déroulée par écrit.
Dans sa recommandation consécutive à l’échange par écrit entre les parties, la Préposée à la transparence a relevé que la majorité des documents demandés avaient été rédigés avant le 1er janvier 2011, date de l’entrée en vigueur de la LInf. Ces documents n’entrent donc pas dans le champ d’application du droit d’accès. Les organes publics peuvent en garantir l’accès de leur plein gré, ce qui n’a pas été le cas ici.
20
La Préposée à la transparence a recommandé l’accès à trois autres documents. Le premier portait sur des notes manuscrites prises à l’occasion d’une séance entre le Préfet, le Syndic de Châtel-St-Denis et d’autres personnes. Le Préfet avait déjà uti-lisé une grande partie de ces informations dans une décision remise au citoyen. Une raison de plus, selon la Préposée, pour accorder l’accès à ce document. Deux mots seulement ont été caviardés pour protéger un tiers.
La Préposée a aussi préconisé l’accès à un courriel adressé par un médecin scolaire au Secrétaire général de la commune. Il ne s’agissait nullement d’un document de travail interne, comme l’a fait valoir le Préfet, mais d’une présentation de faits. Le médecin scolaire a accepté d’accorder l’accès au document. Deux mots ont toutefois été caviardés. Le troisième document, enfin, portait sur un courriel que le citoyen avait déjà reçu et qui a sans problème pu lui être envoyé une nouvelle fois. La Préfecture de la Veveyse a suivi la recommandation de la Préposée à la transparence.
La demande en médiation émanait d’un citoyen ayant demandé au Service cantonal des contributions de consulter la liste des organisations et fondations qui ont leur siège en Suisse et sont exonérées de l’impôt en raison de leurs buts de service public ou d’utilité publique et pour lesquelles il est possible de verser des dons fiscalement déductibles. Le Service des contributions a refusé l’accès au motif que celui-ci porterait préjudice à des intérêts privés. Il aurait dû auditionner près de mille tierces personnes, ce qu’il a estimé disproportionné. Il a néanmoins proposé au citoyen de lui faire parvenir une liste des organisations et fondations auxquelles celui-ci a l’intention de verser des dons, et de l’examiner. Le citoyen a finalement retiré sa demande en médiation et s’est mis d’accord sur ce compromis avec le Service des contributions.
4. Exemples de réponses de la Préposée à la transparence 4.1. Procès-verbal d’une séance du conseil communal
Un citoyen a demandé l’accès au procès-verbal d’une séance du conseil communal consacrée à un projet qui le concernait indirectement. La commune s’est renseignée auprès de la Préposée à la transparence si elle devait en accorder l’accès. Celle-ci a indiqué que les procès-verbaux des séances non publiques ne sont pas accessibles en vertu de la Loi sur l’information et l’accès aux documents (art. 29, al. 1, let. b). La loi du 25 septembre 1980 sur les communes, en revanche, prévoit à l’art. 103bis, al. 2, let. a que le conseil communal peut autoriser, par une décision prise à l’unanimité, la consultation de tout ou partie des procès-verbaux de ses séances, des séances des commissions de l’assemblée communale et des séances de ses commissions administratives. Le cas échéant, toute donnée personnelle concernant des tiers doit être caviardée.
4.2. Révision d’un plan directeur communal
Une commune, auprès de laquelle un citoyen avait sollicité l’accès au projet de révision du plan directeur et aux prises de position préalables, s’est renseignée auprès de notre autorité si elle devait accorder l’accès à tous ces documents. Elle consi-dérait les prises de position comme des documents officiels et était disposée à les publier. Par contre, le projet de révision du plan directeur était d’après elle un instrument de travail pouvant encore subir des modifications. Comme il avait déjà été soumis à plusieurs services cantonaux pour avis, la Préposée à la transparence a plaidé pour sa mise à disposition.
4.3. Facture d’eau du voisin
Un habitant d’une commune a souhaité consulter la dernière facture d’eau de son voisin, sur quoi la commune s’est adres-sée à la Préposée à la transparence et a demandé si elle pouvait en accorder l’accès. Comme le compteur d’eau est contrôlé par un tiers sur mandat de la commune, qui établit ensuite la facture, la Préposée a considéré cette dernière comme un document officiel. Un tiers étant concerné par la demande, elle a signalé à la commune qu’il y avait lieu de consulter le voisin impliqué avant d’autoriser l’accès le cas échéant.
4.4. Rapport d’une commission
Une commune a pris contact avec la Préposée à la transparence après qu’une commission du conseil général eut demandé l’accès à un rapport élaboré par une autre commission à l’attention du conseil communal. La commission qui avait rédigé le rapport avait déjà donné son feu vert. La commune, en revanche, se demandait si l’accès devait effectivement être accordé, étant donné que le conseil communal ne s’était pas encore prononcé sur le rapport.
21
La Préposée à la transparence a répondu à la commune que l’organe public ayant rédigé le document demandé doit en principe traiter la demande d’accès. En ce sens, la commission compétente peut tout à fait accorder à ses collègues l’accès au rapport dans la mesure où aucune exception prévue par la LInf n’est applicable dans le cas concret.
4.5. Organe public fribourgeois ou non
Un journaliste s’est informé auprès de l’autorité si une conférence intercantonale réunissant certaines directions doit être considérée comme un organe public fribourgeois si son secrétariat est implanté à Fribourg et, en ce cas, si la LInf est applicable. Il avait demandé l’accès à des documents qui concernaient l’ensemble des cantons impliqués et auxquels seul un accès partiel lui a été accordé. Des recherches correspondantes ont révélé que le secrétariat se trouve bien à Fribourg, mais que la conférence n’est rattachée à aucune direction ou autre organe public du canton. La Préposée à la transparence a donc considéré la conférence comme un organe public intercantonal et conseillé au journaliste de déposer séparément des demandes d’accès dans chaque canton et, le cas échéant, d’insister par des demandes en médiation.
B. Préposée à la protection des données
1. Statistiques et appréciation généraleDurant la période considérée, 338 dossiers ont été introduits, dont 65 sont pendants au 1er janvier 2013. 200 conseils et ren-seignements, 32 examens de dispositions législatives, 4 contrôles et inspections, 33 présentations et rapports, 2 communi-cations de décision relatives à l’effacement des données de police (art. 27 al. 2 let. a LPrD), 1 avis relatif à la communication transfrontière (art. 12a LPrD), 1 recommandation (art. 30a al. 1 let. c LPrD), 1 divers, 16 FRI-PERS et 48 LVid. 130 dossiers concernent des organes cantonaux ou des institutions chargées de tâches publiques, 69 des communes et paroisses, 53 d’autres organismes publics (cantons, autorités de protection des données) et 86 des particuliers ou institutions privées (cf. statistiques annexées). De plus, et pour information, l’Autorité a été sollicitée à plusieurs occasions pour des questions dont elle n’était pas compétente. Les organes publics ou les particuliers ont dès lors été dirigés auprès des services compétents.
2. Protection des données et tâches de contrôle/inspectionEn 2013, la Préposée à la protection des données a renoncé à effectuer un contrôle sur un organe public comme utilisateur du Système d’information Schengen dans le cadre des obligations légales de l’Autorité (art. 31 al. 2 let. a LPrD) et des obli-gations européennes et fédérales (art. 54 de l’Ordonnance du 7 mai 2008 sur la partie nationale du Système d’information Schengen, N-SIS et sur le bureau SIRENE, ordonnance N-SIS) puisque l’exercice avait été fait les trois années précédentes. Dès lors, la Préposée à la protection des données a opté pour quatre contrôles axés sur le respect des principes de la pro-tection des données fondés sur la LPrD. Le premier concernait le suivi d’une unité centrale de l’administration cantonale, le deuxième relatif à un établissement médico-social pour personnes âgées (EMS), le troisième impliquait le service d’une section puis le quatrième un service social. La Préposée à la protection des données a en outre poursuivi d’autres suivis de contrôles précédents.
Concernant les contrôles 2013, la nouvelle Préposée à la protection des données n’a pu les effectuer qu’en novembre et décembre. Le peu de temps à disposition lui a permis, en collaboration avec la société externe, de ne finaliser que les pro-cès-verbaux, remis aux membres de la Commission à l’occasion de la dernière séance de l’année. Par contre, les rapports finaux et les éventuelles propositions n’ont été élaborés qu’au début de l’année suivante.
3. Protection des données et tâches de conseil/de renseignement La procédure que la Préposée à la protection des données doit respecter lorsqu’elle est interpellée et qu’on lui demande son avis (art. 31 al. 2 lit. b et c LPrD) est satisfaisante en matière de conseil. Le fonctionnement reste cependant informel puisqu’il n’existe pas de règles cantonales édictées à cet effet. Il suit le schéma suivant. La Préposée à la protection des don-nées sollicite dans la mesure du possible des renseignements auprès de l’organe public cantonal ou communal. Elle recourt si possible systématiquement aux personnes de contact en matière de protection des données, même si parfois ces per-
22
24 http://www.fr.ch/atprd/fr/pub/publications/protection_donnees/formulaires/droit_dacces.htm
sonnes sont impliquées dans certains dossiers ou projets, voire sont chargées par la hiérarchie administrative d’en assurer le succès. Ce procédé, auquel la Préposée à la protection des données a eu l’occasion de recourir de façon réitérée, permet une meilleure intégration des différents avis en présence et une rationalisation du travail étant donné les moyens dont elle dispose. La question de l’information dans des cas d’espèce des personnes de contact et d’organes publics, qui ne sont pas intervenus dans le traitement des dossiers, a été soulevée. La Préposée à la protection des données estime que ces personnes et autorités devraient dans la majeure partie des cas trouver réponse dans la publication des prises de position sur le site Internet de l’Autorité.
Les dossiers portaient tantôt sur des questions générales ou études de traitement (par ex. les projets relatifs à l’harmoni-sation des systèmes d’informations pour la gestion de l’environnement administratif des Ecoles HAE ainsi que l’harmo-nisation de la gestion des bâtiments et des logements Harmbat), tantôt sur des points précis (par ex. la communication de données personnelles à Billag, la communication des avis de taxation, le droit d’accès à des procès-verbaux du conseil com-munal). Les questions étaient posées par des personnes et des organismes privés qui voulaient être renseignés sur leurs droits et leurs obligations face à l’administration cantonale ou communale (par ex. la transmission de l’original du dossier médical, la demande d’un organe public de données familiales).
Des formulaires ont été élaborés et sont mis à disposition du public sur le site Internet pour exercer le droit d’accès et s’opposer à la communication de ses données personnelles24.Le réseau d’une vingtaine de personnes dites «personnes de contact en matière de protection des données» des directions, services et établissements principaux est normalement régulièrement réuni par la Préposée à la protection des données pour des échanges d’informations et de la formation personnelle dans divers domaines. En 2013, telle réunion n’a pas eu lieu, mais la nouvelle Préposée a rendu visite à la plupart de ces personnes de contact sur leur lieu de travail.
4. Protection des données et tâche de préavis FRI-PERS (plate-forme informatique cantonale du contrôle des habitants) et LVid (Loi sur la vidéosurveillance)4.1. FRI-PERS
La Préposée à la protection des données est compétente en matière de préavis s’agissant des demandes d’accès à la plate-forme informatique cantonale FRI-PERS, conformément à l’art. 3 al. 1 de l’Ordonnance du 14 juin 2010 relative à la plate-forme informatique contenant les données des registres des habitants. Au 31 décembre 2013, 16 demandes d’accès ont été soumises à la Préposée à la protection des données pour préavis: 10 ont obtenu un préavis positif, 1 a obtenu un préavis négatif et 5 étaient encore en traitement. La DSJ a suivi, dans la plupart des cas, les préavis et la collaboration fonctionne bien.
4.1.1. La Corporation ecclésiastique du canton de FribourgLa Corporation ecclésiastique cantonale du canton de Fribourg (CEC) a requis un accès à la plate-forme informatique can-tonale FRI-PERS. La Préposée à la protection des données a analysé la licéité du traitement, soit du futur accès sous l’angle de la base légale, de la finalité et de la proportionnalité. En effet, une communication de données personnelles au moyen d’une procédure d’appel doit se fonder sur une base légale, en l’occurrence l’art. 16a LCH. De plus, le principe de la finalité au sens de l’art. 5 LPrD est respecté dans la mesure où les données sont traitées conformément à l’art. 1 LCH. L’analyse s’est concentrée sur la conformité du traitement au principe de la proportionnalité. Aux termes des art. 6 LPrD et 16a LCH, les autorités et administrations publiques accèdent aux données de la plate-forme FRI-PERS nécessaires à l’accomplissement de leurs tâches, respectant le principe de la proportionnalité. Ainsi, afin de garantir la tenue de ses différents registres, la CEC a besoin d’un nombre important de données personnelles. Les différentes bases légales analysées ont permis à la Préposée à la protection des données d’émettre un préavis favorable à l’accès par la CEC à FRI-PERS, pour un cercle limité de don-nées. Toutefois, la CEC ayant demandé de pouvoir obtenir les données personnelles des conjoints et des enfants mineurs non catholiques faisant ménage commun avec une personne catholique, la Préposée a estimé que seul un accès aux données
23
personnelles de ses propres membres était nécessaire à la CEC, tout en estimant que les mentions «marié» et, le cas échéant, le «nombre d’enfants» étaient suffisantes, pour le cas où le conjoint et/ou les enfants n’étaient pas de religion catholique. La Direction de la sécurité et de la justice a entièrement suivi le préavis émis en l’espèce.
4.2. Vidéosurveillance
La Loi du 7 décembre 2010 sur la vidéosurveillance (LVid) est entrée en vigueur au 1er janvier 2012. Durant l’année exa-minée, la Préposée à la protection des données a reçu 42 demandes d’installation de vidéosurveillance pour préavis (art. 5 al. 2 LVid) et 6 annonces de systèmes sans enregistrement (art. 7 LVid). 39 préavis positifs et 3 négatifs ont été émis, 6 préavis étant encore en suspens. Tous les préavis positifs étaient assortis de conditions, notamment de satisfaire à l’exi-gence de signalisation des systèmes de vidéosurveillance. Par ailleurs, 36 demandes émanaient de services de l’Etat ou de communes, 12 de privés. La liste des installations de vidéosurveillance est disponible sur les sites Internet des préfectures, conformément à ce qui est prévu à l’art. 9 de l’Ordonnance du 23 août 2011 sur la vidéosurveillance (OVid).
Pour l’heure, il est probable qu’un certain nombre d’installations déjà existantes ne soit pas encore au bénéfice d’une autorisation préfectorale (délai transitoire au 31 décembre 2012). A remarquer que les personnes privées qui ne satisfont pas à l’exigence de la LVid peuvent être dénoncées et sanctionnées d’une amende (art. 8 LVid). Voici un exemple de préavis concernant la LVid.
4.2.1. OCN25
Le Préfet de la Sarine a transmis pour préavis la demande d’installation avec enregistrement de l’OCN. Le système soumis comprenait cinq caméras fonctionnant 24h/24. La Préposée à la protection des données a vérifié la licéité du système en examinant l’analyse des risques, le respect des principes généraux et autres conditions légales, à savoir l’exigence de la base légale, le respect du principe de la proportionnalité, le signalement adéquat du système, le respect du principe de la finalité, la sécurité des données et la durée de conservation des images. Dans le cas présent, le règlement d’utilisation ne prévoyait pas de mesure de sécurité en présence d’images à qualifier de sensibles. Or, l’Autorité a toujours considéré que le contexte pouvait rendre des données sensibles. Ainsi, le fait pour une personne d’être filmée en se rendant au guichet des mesures administratives peut constituer un traitement de données sensibles, parce que l’image est liée à des personnes clientes de l’OCN, dès lors que des personnes sont sous le coup d’une mesure administrative (sanction administrative). Ainsi, en plus de l’exigence du signalement, la Préposée a soumis son préavis positif à la condition de prévoir des mesures de sécurité appropriées (par ex. de sécuriser l’accès aux images au moyen d’un mot de passe ou d’installer un système de brouillage des images).
5. Exemples de réponses/d’avis rendus par la Préposée à la protection des données5.1. Impression de fiches ou listes issues de la plate-forme informatique cantonale FRI-PERS
Notre Autorité a constaté que, dans certains cas, les offices d’état civil imprimaient les données de la plate-forme informatique cantonale FRI-PERS et les transmettaient, dans le cadre de l’accomplissement de leurs tâches, aux autorités compétentes.
Par conséquent, notre Autorité a informé que l’impression de fiches ou listes issues de la plate-forme informatique cantonale FRI-PERS n’est autorisée qu’à usage interne. En aucun cas, de tels documents ne doivent être transmis à des tiers (organes publics ou privés), dans la mesure où ceci constitue une communication de données personnelles, qui n’est pas permise par le Règlement d’utilisation.
Cette information a été transmise à tous les utilisateurs de la plate-forme FRI-PERS, sur demande de notre Autorité. 5.2. Accès au calendrier Outlook d’un service social
La Préposée a été contactée par le service social d’une commune qui souhaitait savoir s’il pouvait octroyer l’accès à son
25 Pour le préavis complet: http://www.fr.ch/atprd/files/pdf49/8041_Oravis_sign_03.10.12.pdf
24
calendrier Outlook, contenant les nom et prénom de ses clients ainsi que l’heure fixée pour l’entretien, à tous les employés communaux. En effet, les données relatives à des mesures d’aide sociale sont des données particulièrement sensibles au sens de l’art. 3 let. c ch. 3 LPrD et doivent, dès lors, faire l’objet d’une diligence accrue. La communication systématique de données personnelles n’est admissible que si une base légale le prévoit (art. 10 al. 1 LPrD) ; il ne semble pas exister de telle disposition dans ce cas. De plus, le partage généralisé du calendrier à des fins d’administration au sens large – comme le service téléphonique – semble disproportionné. Du point de vue de la protection des données, l’ouverture du calendrier Outlook comportant des données sensibles n’est pas licite.
5.3. Communication de listes d’adresses à un organe d’institution privé
Une commune a demandé l’avis de la Préposée quant à savoir s’il est admissible, du point de vue de la protection des don-nées, de communiquer des adresses de personnes définies par un critère général à un organe d’institution privé. Selon l’art. 10 al. 1 LPrD, la communication de données personnelles ne peut être effectuée que si une disposition légale le prévoit. En matière de contrôle des habitants, l’art. 17 al. 2 LCH, qui concerne la communication à des personnes privées, dispose que «le conseil communal peut autoriser la communication, en vue de leur utilisation à des fins idéales dignes d’être soutenues, des noms, prénom(s), date de naissance et adresse de personnes définies par un critère général». La Préposée a estimé que la raison pour laquelle l’institution privée souhaitait obtenir la liste d’adresses poursuivait un but idéal (non commercial); la décision appartient toutefois au conseil communal. En tout état de cause, si l’institution privée devait recevoir cette liste, elle ne pourrait pas en faire un autre usage, ni transmettre la liste ou les données à des tiers. Les éventuels droits de blocage (art. 18 LCH) devraient également être respectés.
La Préposée a encore relevé que certaines personnes pouvaient se sentir offensées par cette communication. L’institution pourrait alors préparer un courrier-type à l’intention des personnes définies, qui serait transmis par l’intermédiaire de la commune. Il est également possible que l’institution vienne effectuer ces envois dans les locaux communaux et que la com-mune mette simplement à disposition la liste d’adresses.
5.4. Communication de la liste d’adresses des élèves d’un village à l’association de l’accueil extrascolaire
La présidente de la Commission scolaire d’un village a contacté la Préposée pour savoir s’il est conforme à la protection des données que l’on transfère la liste des noms des élèves, du représentant légal et l’adresse à l’accueil extrascolaire du village. Conformément à l’art. 4 LPrD, l’organe public n’est en droit de traiter des données personnelles que si une dispo-sition légale le prévoit ou, à défaut, si les dispositions réglant l’accomplissement de sa tâche l’impliquent. Pour savoir si la présidente de la Commission scolaire peut transférer ladite liste à l’accueil scolaire, il faut examiner si cela entre dans ses compétences. La communication des données des élèves et de leurs représentants légaux n’est pas une des attributions de la Commission scolaire, conformément aux articles 61ss de la Loi scolaire du 23 mai 1985 (LS). Dès lors, cette transmission par la présidente de la Commission scolaire à l’accueil extrascolaire n’est pas conforme à la LPrD.
Néanmoins, l’accueil scolaire du village peut soumettre sa demande auprès de la commune sur la base de l’art. 5 al. 2 du Règlement du 27 septembre 2011 sur les structures d’accueil extrafamilial de jour (RStE) qui renvoie à la LPrD. Selon l’art. 12 LPrD, pour des questions concernant la communication des données personnelles inscrites au contrôle des habitants, c’est la LCH qui s’applique, en l’espèce, les articles 17ss LCH.
5.5. Logs et surveillance du courrier électronique
S’agissant des logs, notre Autorité a été abordée par le syndic d’une commune, qui souhaitait obtenir des informations sur les accès aux systèmes (logs) d’un collaborateur durant les six derniers mois par le SITel. En l’espèce, la Préposée a relevé qu’il n’existait aucune base légale qui le permettait. Par conséquent, il n’y aurait pas d’intérêt à ce que le syndic dispose des logs, ceux-ci étant peu fiables ni relevants ni nécessaires. En matière de surveillance du courrier électronique, l’Université a contacté notre Autorité pour savoir si, du point de vue de la protection des données, il était admissible d’ouvrir un contrôle personnalisé, au sujet d’une collaboratrice, sans l’en
25
informer. L’art. 1 de l’Ordonnance du 20 août 2002 relative à la surveillance de l’utilisation d’Internet par le personnel de l’Etat règle « la surveillance de l’utilisation, par le personnel de l’Etat, d’Internet et du courrier électronique ». Plus parti-culièrement, les articles 7 et 8 de l’Ordonnance régissent les contrôles globaux et les contrôles personnalisés. Lorsque tout collaborateur allume son ordinateur, la page de démarrage de Windows de l’Etat rappelle que «pour des raisons d’exploita-tion et de sécurité, le SITel est habilité à procéder à des contrôles de l’utilisation d’Internet». La mention que la surveillance d’Internet englobe aussi la surveillance d’Intranet et du courrier électronique, comme le prévoit l’art. 1 de l’Ordonnance, fait défaut. Dès lors, dans le cas d’espèce, la collaboratrice en question n’a pas été suffisamment informée de la possibilité du contrôle du courrier électronique, du fait de l’annonce insuffisante sur la page de démarrage de Windows des ordinateurs de l’Etat.
Du point de vue de la protection des données, un contrôle personnalisé correspond à une collecte de données personnelles au sens de l’art. 9 LPrD. Il en découle que ce contrôle doit alors respecter les principes généraux en matière de protection des données des articles 4ss LPrD, plus particulièrement les principes de la finalité, de la proportionnalité et de la bonne foi. On peut douter que ces principes soient respectés, étant donné que le contrôle personnalisé constitue une atteinte élevée aux droits de la personnalité et qu’il existe d’autres moyens moins restrictifs, comme par exemple le fait de d’abord discuter du problème avec la personne concernée.
En l’espèce, la Préposée a estimé que si l’Université tenait absolument à effectuer un contrôle personnalisé (mais sans la bénédiction de l’Autorité), elle devait au moins informer la collaboratrice de ce qui a été découvert et s’entretenir avec elle à ce sujet. Pour parer au plus pressé, une mention précise des contrôles effectués est inscrite sur la page de démarrage Win-dows. Puis, une directive sur l’utilisation du courrier électronique sera élaborée, conformément au Guide du PFPDT. 5.6. Lettre ouverte du conseil communal
Une commune a publié sur son site Internet une lettre ouverte mentionnant le nom des recourants à l’une de ses décisions. Contactée par l’un d’eux, la Préposée a rappelé que la communication de données personnelles n’est admissible que si une disposition légale le prévoit ou si, dans un cas d’espèce, l’organe public en a besoin pour l’accomplissement de sa tâche ou si la personne concernée a consenti à la communication (art. 10 al. 1 LPrD). Certes, il existe un devoir d’information de la part du conseil communal à la population, conformément aux articles 83a de la Loi du 25 septembre 1980 sur les communes (LCo) et du Règlement d’exécution du 28 décembre 1981de la loi sur les communes (RelCo 42a). Toutefois, des données personnelles ne peuvent faire l’objet d’une information au public que si une disposition légale le prévoit, si la personne concernée a consenti à leur communication au public ou si elles ont un rapport avec l’accomplissement de tâches publiques et l’intérêt du public à l’information l’emporte sur l’intérêt au maintien du secret de la personne concernée (art. 11 al. 1 LInf). Dans ce cas, une information concrète sur le recours contre la décision communale et sur le retard ainsi pro-voqué des projets, sans divulguer les noms des recourants, est suffisante. Par conséquent, le nom des recourants n’est pas une information nécessaire à l’accomplissement de la tâche du conseil communal et si la communication du recours relève du devoir d’information du conseil communal au public, l’intérêt du public ne l’emporte pas sur l’intérêt au maintien du secret des personnes concernées. La Préposée est d’avis que la divulgation des noms des recourants n’est pas admissible du point de vue de la protection des données.
En outre, la Préposée a ajouté que les noms des recourants ne doivent pas être divulgués en raison des risques d’atteintes possibles aux droits des personnes, notamment par des pressions, des stigmatisations, des représailles.
5.7. Accès d’un employé à son dossier personnel
La Préposée à la protection des données a été abordée par un organe public, désireux de savoir s’il était admissible, du point de vue de la protection des données, qu’un employé obtienne une copie d’un rapport d’assessment figurant dans son dossier personnel. Après avoir relevé que la loi sur le personnel de l’Etat ne prévoyait pas de norme spécifique relative à la consultation du dossier personnel, la Préposée a relevé que la Loi du 17 octobre 2001 sur le personnel (LPers) renvoyait de manière générale à la législation sur la protection des données (art. 124), ce qui implique un droit d’accès au personnel à
26
son dossier. Ce droit est toutefois limité par l’art. 25 LPrD, qui prévoit que le droit d’accès peut être restreint, voire refusé, lorsqu’un intérêt public le commande ou lorsque l’intérêt digne de protection d’un tiers l’exige. Toutefois, le Règlement du 17 décembre 2002 sur le personnel de l’Etat (RPers) prévoit que les candidats soumis à un test de personnalité ont le droit d’être informé du résultat de leur test. Ainsi, la Préposée a admis qu’un employé peut avoir accès à tout au moins une partie du rapport d’assessment le concernant. En effet, les passages du rapport qui ne sont adressés qu’à l’employeur peuvent être gardés confidentiels, mais seulement dans le but de sauvegarder un intérêt public ou l’intérêt digne de protection d’un tiers.
5.8. Communication des PV de l’ECAB
Le Géomètre cantonal s’est adressé à la Préposée à la protection des données afin de savoir si le fait de joindre les procès-verbaux de taxation de l’ECAB aux ordres de lever pour la cadastration des bâtiments était conforme à la protection des données ou non. Après analyse, il est ressorti que le Service du cadastre et de la géométrie bénéficiait des bases légales suffisantes pour recevoir les PV de la Commission de taxation transmis par l’ECAB et les transmettre aux géomètres pour la cadastration des bâtiments (art. 86 al. 1 et 87 de la Loi du 7 novembre 2003 sur le mensuration officielle et art. 27 du Règlement du 14 novembre 1966 d’exécution de la loi du 6 mai 1965 sur l’assurance des bâtiments contre l’incendie et les autres dommages).
5.9. Communication de données personnelles au Théâtre Equilibre
Notre Autorité a été saisie par une personne privée désirant savoir s’il était conforme à la protection des données de récol-ter des données personnelles lors de l’achat d’un billet de spectacle. Dans un premier temps, l’applicabilité de la LPrD a été analysée dans la mesure où cette dernière s’applique aux particu-liers et aux organes d’institutions privées lorsqu’ils accomplissent des tâches de droit public, conformément à l’art. 2 al. 1 let. b de la LPrD. Or, le simple fait d’être reconnu d’utilité publique ne permet pas de déduire qu’un organisme exécute une tâche publique. Dans le cas d’espèce, la tâche publique consiste dans le fait que le Théâtre bénéficie de subventions, de la part des communes. Or, les communes ont une obligation légale de contribuer à la promotion des activités culturelles, principalement dans le domaine de l’animation (cf. art. 3 de la Loi du 24 mai 1991 sur les affaires culturelles). En raison de cette obligation légale, conjuguée au versement par les communes de subventions et de l’existence d’un mandat de prestations qui lie le Théâtre, le Théâtre accomplit dès lors une tâche publique. En effet, le Théâtre est lié par le mandat de prestations et doit fournir un certain nombre de prestations culturelles, contre versement d’une prestation. Ainsi, la LPrD s’applique pleinement au Théâtre Equilibre.Dans un second temps, la Préposée a analysé si la collecte de données effectuée par le Théâtre respectait la protection des données. Si la collecte en soit ne semble pas poser problème, il s’agira pour le théâtre de mentionner clairement dans ses conditions générales de vente, que des données personnelles seront collectées (art. 5 LPrD). Par ailleurs les personnes, qui le souhaitent, doivent avoir la possibilité de ne pas communiquer de données personnelles, avec les conséquences qui en découlent.
5.10. Demandes individuelles d’accès à la plate-forme FRI-PERS – Police cantonale
La DSJ a contacté l’Autorité afin de savoir si les membres de la Police cantonale peuvent se passer de remplir le formulaire de demande individuelle d’accès, étant donné qu’une déclaration sur le secret de fonction est signée à l’engagement de tout collaborateur. La Préposée a estimé que le formulaire de demande individuelle d’accès devait être maintenu, d’une part en raison de l’art. 17 al. 1 let. b du Règlement du 29 juin 1999 sur la sécurité des données personnelles (RSD) qui impose un tel formulaire et, d’autre part, en raison du fait que ce formulaire permet de procéder efficacement à des contrôles d’accès. En l’absence d’un tel formulaire, le SPoMi, service désigné par l’Ordonnance du 14 juin 2010 relative à la plate-forme infor-matique contenant les données des registres des habitants, doit savoir si les utilisateurs disposent d’une autorisation pour accéder aux données de la plate-forme, sous peine de ne pas pouvoir remplir les tâches décrites dans l’Ordonnance et dans le RSD.Ensuite, la Préposée a souligné le nombre important d’accès accordé à la Police cantonale. En effet, il ne ressort pas que le législateur ait voulu faire de la plate-forme un outil de travail pour la Police permettant l’accès de tous les policiers aux
27
26 Le site est accessible http://appl.fr.ch/refi/etat/client/index.aspx
données de tous les habitants du canton enregistrées dans la base de données FRI-PERS, ce qui heurte le principe de la finalité, tel que prévu à l’art. 5 LPrD. En outre, sous l’angle de la proportionnalité (art. 6 LPrD), la Préposée a relevé que plus le nombre de personnes ayant accès est grand, plus le risque d’atteintes aux droits fondamentaux augmente. Aussi, la Préposée mentionne que seul un cercle restreint de personnes devrait bénéficier d’un accès à FRI-PERS, tels que les officiers supérieurs p. ex.
5.11. Traitement d’images en provenance de systèmes de prises d’images numériques
La Préposée à la protection des données a souvent dû se déterminer par rapport à des questions en lien avec le traitement d’images en provenance de systèmes numériques, tels que des caméras de surveillance ou des webcams. Ainsi, la Préposée a considéré que la publication d’images de vidéosurveillance via les réseaux sociaux serait illicite, puisqu’elle ne reposerait sur aucune base légale. En outre, une telle communication violerait le principe de la finalité, puisque les données seraient utilisées dans un autre but que celui pour lequel elles ont été initialement collectées. La Préposée a également renseigné une personne privée qui souhaitait installer une webcam à but touristique. La personne concernée a été rendue attentive au fait qu’elle ne devait pas filmer de personnes, ni orienter la webcam sur des terrains privés ne lui appartenant pas.Notre Autorité a également dû renseigner une préfecture, qui avait été saisie par une assurance afin d’obtenir des images filmées au moyen d’une caméra filmant un giratoire et dans lequel avait eu lieu un accident de la circulation. La question était celle de savoir si l’assureur pouvait obtenir les images de l’accident par l’intermédiaire de la préfecture. La Préposée a rappelé un certain nombre de principes et distingué deux cas de figure, soit si nous sommes en présence d’une procédure pendante ou non. Si une procédure civile, pénale ou de juridiction administrative est en cours, la LPrD ne s’appliquera pas (art. 2 al. 2 let. b LPrD). Cela étant, la Préposée était arrivée à la conclusion que si l’assureur a bel et bien un intérêt juri-dique à la communication, celui-ci violerait le principe de finalité, puisque le but pour lequel les images sont capturées (état du trafic routier, contrôle du trafic, etc.) n’est pas le même que celui poursuivi par l’assurance (économique) et ne semble pas compatible avec lui. Par ailleurs, l’accès aux images de l’accident n’avait également pas été jugé comme conforme au principe de la bonne foi.
6. Registre des fichiers «ReFi»26
Pour les organes publics, la déclaration des fichiers est une obligation légale (art. 19 ss LPrD).
28
La bonne collaboration entre les deux Préposées s’est poursuivie en 2013, également dans la nouvelle composition de l’Autorité. Plusieurs mesures avaient été prises dès le début pour la sauvegarde de cette coopération. Les séances de la Commission, auxquelles les deux Préposées participent, traitent régulièrement les dossiers portant sur les deux domaines. Les Préposées se voient fréquemment pour les échanges nécessaires. Enfin, il y a également une coordination grâce aux contacts avec le Président.
IV. Coordination entre la transparence et la protection des données
—
L’Autorité cantonale de la transparence et de la protection des données remercie tous les organes publics pour la collaboration développée jusqu’ici, pour l’intérêt qu’ils manifestent envers le droit d’accès à l’information ainsi qu’envers leur obligation de respecter les dispositions légales sur la protection des données personnelles et par là les personnes. Ces remerciements s’adressent en particulier aux personnes de contact au sein de l’administration et des établissements cantonaux qui aident efficacement les Préposées dans l’accomplissement de leurs tâches.
V. Remarques finales
—
29
Statistiques de la transparence
—
Demandes / interventions—
AnnéeDemandes de renseignement Avis Législations Présentations
Demandesd’accès Médiation Total
2013 33 2 30 20 1 1 872012 29 25 16 2 3 752011 60 26 19 1 7 123
D Les «renseignements» sont donnés par la Préposée à la transparence. D Le terme «législations» comprend les travaux de réflexion sur des dispositions législatives et les réponses aux consultations.
D La notion de «présentations» recouvre les exposés dans le cadre de l’introduction du droit d’accès, les participations aux séances (par ex. groupes de travail), aux conférences, les participations à des colloques.
D Une demande d’accès a été adressée à la Préposée à la transparence. Cette dernière a été transmise à l’organe public compétent.
D Parmi les 87 dossiers ouverts en 2013, 51 dossiers sont communs avec la protection des données, dont 30 consultations.
Demandes / interventions—
Année Offices cantonauxCommunesParoisses
Particuliers et institutions privées
Autres organismesde droit public Avocat Médias
2013 46 19 8 11 - 32012 37 18 9 9 - 22011 59 33 14 13 1 3
D Les particuliers comprennent aussi les collaborateurs/trices de l’Etat. D Les autres organismes de droit public englobent les autorités cantonales, fédérale de la transparence, ainsi que les institutions chargées de tâches publiques.
30
D Les «avis» sont rendus par la Préposée à la protection des données; ils comprennent ses prises de position/conseils, établis sur la base d’une publication, d’un projet ou d’une proposition soumis par les organes publics ou par un particulier.
D Les «demandes de renseignement» concernent des questions posées par les organes publics ou par les particuliers concernés, ainsi que sur leurs droits.
D Les «contrôles» comprennent les vérifications de la Préposée à la protection des données de l’application de la législation relative à la protection des données.
D Le terme «législations» comprend les travaux de réflexion sur des dispositions législatives et les réponses aux consultations.
D La notion de «présentations» recouvre les exposés, rapports, études, participations à des colloques. D Pour les «communications» de décisions, voir art. 27 al. 2 let. a LPrD. D Pour les «recommandations», voir art. 30a LPrD. D Pour les «flux transfrontières», voir art. 12a LPrD. D Parmi les 338 dossiers ouverts en 2013, 51 dossiers sont communs avec la transparence, dont 30 consultations.
D Les particuliers comprennent aussi les collaborateurs/trices de l’Etat. D Les autres organismes de droit public englobent les autorités communales, cantonales, fédérale de protection des données, ainsi que les institutions chargées de tâches publiques.
Anné
es
Avis
Dem
ande
s de
re
nsei
gnem
ent
Cont
rôle
s
Légi
slat
ions
Prés
enta
tions
Com
mun
icat
ions
de d
écis
ions
Reco
mm
anda
tions
Flux
tran
sfro
ntiè
res
Préa
vis F
RI-P
ERS
Préa
vis L
Vid
Dive
rs
Tota
l
2013 34 166 4 32 33 2 1 1 16 48 4 3382012 95 71 6 27 16 1 0 0 13 28 25 2822011 107 80 9 36 5 2 0 0 30 2692010 112 6 8 38 8 4 0 0 0 1762009 128 0 4 35 11 8 0 4 0 190
Demandes / interventions—
Statistiques de la protection des données
—
Demandes / interventions—
Années Offices cantonauxCommunesParoisses
Particuliers et institutions privées
Autres organismesde droit public
2013 130 69 86 532012 94 45 113 302011 92 59 74 442010 72 41 45 182009 81 30 55 24
![dans le périmètre du Grand Fribourg - fr.ch · Auteurs Prof. Dr. Nils Soguel [expert mandaté]](https://img.pdfslide.fr/doc/110x75/5b9f2e6c09d3f2083f8cb21e/dans-le-perimetre-du-grand-fribourg-frch-auteurs-prof-dr-nils-soguel.jpg)
